Tokeny generują jednorazowe hasła, które po pewnym czasie tracą swoją ważność. Jeśli cyberprzestępca przechwyci hasło, to musi być ono wykorzystane natychmiast, aby możliwe było przeprowadzenie transakcji.

Zazwyczaj phisherzy ograniczali się do ataków na konta nie posiadające takich zabezpieczeń. Jednak firma Secure Science Corporation odkryła strony phishingowe, działające w czasie rzeczywistym, których celem były usługi Citybusiness świadczone przez Citibank.

Kiedy użytkownik wprowadza hasła do oszukańczej strony, ta natychmiast kontaktuje się z bankiem. Potrafi nawet wyświetlić odpowiedni komunikat jeśli użytkownik pomylił się przy wprowadzaniu danych. Takie oszustwa noszą więc cechy ataków "man-in-the middle".

Eksperci podkreślają, że większość stron zakładanych przez phisherów nie ma tak zaawansowanych funkcji. Mimo to powinniśmy mieć świadomość tego, że posiadanie tokena lub karty kodów jednorazowych nie powinna zmniejszać naszej czujności. Zawsze warto się upewnić, czy strona, którą odwiedzamy, rzeczywiście jest stroną naszego banku.